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Beschreibung 



Verfahren zum Schutz von Daten 

Die Erfindung betrifft den Schutz von Daten, insbesondere ein Verfahren fur die 
Gewahrleistung von Authentizitat und Integritat von digitalisierten Daten anhand bio- 
metrischer Merkmale. 

Im Zuge der zunehmenden Globalisierung in fast alien Bereichen der Wirtschaft 
kommt insbesondere den neuen Informationstechnologien eine immer grofiere Bedeu- 
tung zu. An erster S telle ist hierbei an die fortschreitende Nutzung von elektronischen 
Kommunikationsnetzwerken, deren bekannteste Auspragung das Internet sein diirfte, zu 
denken. Der zunehmende internationale Austausch von Waren und Dienstleistungen 
macht allerdings eine sichere Informationsweitergabe unumganglich. Derzeit iibersteigt 
die Menge an monetaren Transaktionen in ihrem Wert den des Warenaustausches um 
ein Vielf aches. Dieser Datenverkehr wird derzeit in irgendeiner Form iiber elektronische 
Kommunikationsnetzwerke (z.B.: elektronische Transaktionen wie etwa E-Commerce) 
abgewickelt. Diese Kommunikationsform erfordert aber ebenso wie im nicht-elektroni- 
schen Bereich, daB die Transaktionspartner sich auf Aussagen (insbesondere Willenser- 
klarungen) bei der Transaktion sowohl auf den Inhalt als auch auf die Identitat des je- 
weiligen anderen verlassen konnen miissen. Da jedoch bei diesen elektronischen Trans- 
aktionen (Online-Transaktionen) in der Regel kein unmittelbarer Kontakt der Transakti- 
onspartner stattfindet und die Daten nur in elektronischer Form vorliegen, ist dies nicht 
wie sonst ublich per Augenschein moglich. Ohne die Moglichkeit der Authentifizierung 
und dem Schutz vor Manipulation von Transaktionsdaten ist eine Realisierung nicht 
denkbar. Aber auch in Hinblick auf den Schutz elektronischer gespeicherter Personen- 
daten ist eine sichere Uberpriifung der Datenintegritat von groGer Bedeutung. Digitale 
Signaturen sind dabei eine Moglichkeit, die Authentizitat und Integritat von Daten si- 
cherzustellen. Nur befugte Personen, Gruppen oder Maschinen konnen Veranderungen 
an Daten vornehmen. Zusatzlich kann jeder feststellen, ob eine Signatur authentisch ist. 
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Bekannte Signaturverfahren benutzen dabei ein sogenanntes asymmetrisches Ver- 
schlusselungsverfahren. Der prinzipielle Ablauf eines solchen Verfahrens sei im folgen- 
den skizziert: 

Fiirjeden Beteiligten am Signatursystem wird hierbei ein Schliisselpaar generiert, 
beispielsweise ein geheimer und ein offentlicher Schliissel, das in einem bestimmten 
mathematischen Verhaltnis zueinander stehen. Zum Erzeugen der digitalen Signatur 
benutzt der Absender seinen geheimen Schliissel, in der Regel als spezielles Unter- 
schriftsmerkmal. Das zu unterschreibende Dokument wird zunachst mit einem soge- 
nannten Hash-Verfahren komprimiert, das so entstandene Komprimat nach einem vor- 
gegebenen Algorithmus mit dem geheimen Schliissel verkniipft und das Ergebnis als 
digitale Signatur dem zu iibertragenden Dokument angehangt. Der Empfanger kom- 
primiert nun ebenfalls das Dokument und vergleicht dieses Komprimat mit dem in der 
digitalen Signatur enthaltenen Komprimat, das sich durch Entschliisseln der Signatur 
mit dem offentlichen Schliissel des Absenders ergibt. Bei Ubereinstimmung steht fest, 
daB der gesendete und empfangene Text gleich sind, d.h. es also weder Manipulationen 
noch Ubertragungsfehler gegeben hat. Ferner steht aber auch fest, daB nur der Absender, 
der im Besitz des geheimen Schliissels ist, die Signatur erzeugt haben kann, weil sonst 
der offentliche Schliissel nicht "passen" wiirde, d.h. also keine Transformation auf das 
urspriingliche Komprimat hatte erfolgen konnen. 

Die Sicherheit modemer Signaturverfahren beruht auf der Tatsache, daB der pri- 
vate Signaturschlussel nach heutigem Wissensstand selbst dann nicht ermittelt werden 
kann, wenn dem Angreifer sowohl der Klartext, der signierte Text als auch der zugeho- 
rige offentliche Signaturschlussel zur Verfugung stehen. Ein Beispiel fur ein asymme- 
trisches Verschliisselungsverfahren ist RSA. Das RSA-Verfahren hat seinen Namen 
nach denen seiner Entwickler erhalten: Ronald L. Rivest, Adi Shamir und Leonard 
Adleman, die das Verfahren 1977 ("On Digital Signatures and Public Key 
Cryptosystems", MIT Laboratory for Computer Science Technical Memorandum 82, 
April 1977) bzw. 1978 ( "A Method for Obtaining Digital Signatures and Public-Key 



Cryptosy stems" , Communications of the ACM 2/1978) vorstellten. Grundlage von 
RSA sind zahlentheoretische Uberlegungen, bei denen angenommen wird, daB groBe 
Zahlen nur schwer faktorisierbar, d.h. in Primfaktoren zerlegbar sind. Es handelt sich 
um das sogenannte Faktorisierungsproblem. Der vermutete Rechenaufwand ist dabei so 
groB, daB die Verschlusselung bei geeignet gewahlten Schliisseln durch eine brute-force 
Attacke praktisch nicht zu brechen ist. Kryptoanalytische Angriffe sind nicht publiziert. 

Somit kann mit Hilfe eines derartigen asymmetrischen Verschliisselungsverfah- 
rens'ein signiertes Dokument eindeutig einem Signaturschliissel zugeordnet werden. Die 
Zuordnung eines signierten Dokuments zu einer Person oder Organisation ist jedoch 
weiterhin problematisch. Damit sie gelingen kann, miissen die nachfolgend genannten 
Voraussetzungen gewahrleistet werden, d.h., daB erstens nur der rechtmaBige Besitzer 
Zugang zu seinem privaten Signaturschliissel erhalt und zweitens jedem offentlichem 
Schliissel der rechtmaBige Besitzer des zugehorigen privaten Schliissels in eindeutiger 
Weise zugeordnet ist. 

Um die erstgenannte Voraussetzung zu erfiillen, gibt es die Moglichkeit, den 
rechtmaBigen Besitzer des Signaturschliissels durch biometrische Merkmale zu identifi- 
zieren. 

Um die letztgenannte Voraussetzung zu erfiillen, schalten viele Systeme soge- 
nannte Trusted Third Parties ein: Dritte, die nicht unmittelbar an der Transaktion betei- 
ligt sind und deren Vertrauenswiirdigkeit als gesichert angesehen werden kann. Das 
System gegenseitigen Vertrauens und Kontrollen wird haufig als "Trust n -Modell be- 
zeichnet. 

Beispiele fur die Benutzung von Signaturverfahren zur Authentifizierung und 
Uberpriifung von Datenintegritat sind: 

• Vertrage, die elektronisch iiber das Internet oder ein sonstiges Datennetz abge- 
schlossen werden; 




• Elektronische Transaktionen (Stichwort: E-Commerce); 

• Zugangskontrolle zu Resourcen (etwa Datenverbindungen oder externe Spei- 
chersy steme); 

• ProzeBsteuerungsdaten, die export iert und in fertigungstechnische Anlagen 
eingelesen werden; 

• Uberwachung der Herkunft von sicherheitstechnisch besonders relevanten Er- 
satzteilen (etwa in der zivilen Luftfahrt oder Atomindustrie); und 

• Personendatenverwaltung (etwa Patientendatenverwaltung oder bei Behorden) 

Wie bei jedem Sicherheitssystem, gibt es auch bei den heute bekannten Signatur- 
verfahren zahlreiche Angriffsmoglichkeiten, sogenannte Attacken. Diese sind in Fig. 6 
in einer Tabelle aufgefiihrt. 

Bekannte Signatursy steme sind beispielsweise sogenannte Smart Card Systeme. 
Viele auf Smart Card basierende Systeme bieten guten Schutz gegeniiber Angriffen auf 
den Schliissel selbst (kryptoanalytische Attacken), gegen brute-force Attacken (BFA) 
und gegen die Angriffe auf die Hardware, auf welcher der Schliissel gespeichert ist. Da- 
gegen sind replay- und fake-terminal Attacken (RA) sowie Attacken auf die Benutzer 
relativ erfolgversprechend, d.h., Smart Card Systeme stellen hinsichtlich dieser 
Attacken ein Sicherheitsrisiko dar. 

Einige Systeme versuchen, die Benutzer vor Diebstahl des Signaturschliissels zu 
schiitzen. Sowohl PIN als auch biometrische Verfahren kommen zum Einsatz. Attacken 
gegen das "Trust"-Modell (TMA) werden von den meisten Anbietern von Authentifizie- 
rungssystemen noch nicht einmal diskutiert. 

Im folgenden soli ein herkommliches System beschrieben werden, das digitale Si- 
gnaturen und die Messung biometrischer Merkmale kombiniert. Sowohl der private Si- 
gnaturschliissel des Kunden als auch ein Muster oder Prototyp (das sogenannte 
Template) der digitalen Representation des gemessenen biometrischen Merkmals liegen 



in gespeicherter Form vor. Im einzelnen werden folgende AuthentifizierungsmaGnah- 
men getroffen: 

1. Der Benutzer identifiziert sich - zum Beispiel durch Eingabe einer PIN 
oder indem ein biometrisches Merkmal ausgelesen wird. 

2. Die biometrischen Daten werden validiert, indem diese mit einem 
Template verglichen werden. 1st der Abstand des gemessenen Merkmals zum Prototyp 
klemer als ein Schwellenwert, wird die Transaktion freigegeben. Dieser Abgleich findet 
in Lesegeraten oder in einer zentralen Clearingstelle statt. Im letzteren Fall werden die 
biometrischen Daten - verschliisselt oder im Klartext - iiber Netzwerke ubertragen. 

3. Der private Signaturschliissel wird freigegeben. 

4. Der Benutzer identifiziert sich, indem er das Dokument digital signiert. 
Meist ist das RSA Verfahren oder ein anderes asymmetrisches Verschliisselungsver- 
fahren implementiert. Haufig ist dieses auf einer Smart Card oder einer anderen vor 
Manipulationen geschiitzten ("tamper M -resistenten) Hardware implementiert. 

5. Das signierte Dokument wird iiber ein Netzwerk ubertragen. 

6. Die kryptographische Operation wird mittels des offentlichen Signatur- 
schliissel des Benutzers validiert. 

Die Sicherheit dieser Verfahren beruht darauf, daG der private Signaturschliissel 
die Smart Card nicht verlaGt. "Man in the middle"-Attacken (MMA) auf den privaten 
Signaturschliissel selbst sind damit nicht moglich, solange die Smart Card in den 
Handen des legitimen Besitzers bleibt. 

Ein Beispiel fur ein Verfahren, bei dem sowohl der private Signaturschliissel des 
Kunden als auch ein Prototyp der digitalen Reprasentation des gemessenen biometri- 



schen Merkmals in gespeicherter Form vorliegen, kann der WO 09912144 Al entnom- 
men werden. 

Das in WO 09912144 Al vorgeschlagene Verfahren sieht vor, daB das Template 
in einer zentralen Clearingstelle in gespeicherter Form vorliegt. Diese signiert im Na- 
men des Benutzers digital, wenn der Abstand des gemessenen biometrischen Merkmals 
zum Prototyp kleiner als ein Schwellenwert ist. 

Das in WO 09912144 Al vorgeschlagenen Verfahren weist jedoch den Nachteil 
auf, daB es inherent einige Sicherheitsprobleme in sich birgt: Erstens muB der Benutzer 
dem Lesegerat, in welches das biometrische Merkmal eingelesen wird, der Clearing- 
stelle und den offentlichen Netzwerken vertrauen. Damit sind fake-teiminal Attacken 
moglich. AnschlieBend kann die digitale Representation des biometrischen Merkmals in 
das Lesegerat eingelesen werden (sogenannte replay Attacke (RA)). Zweitens sind auch 
Angriffe auf das Lesegerat oder auf die Entitat, bei der das Template gespeichert ist 
(SKT), moglich. Solche Angriffe haben das Ziel, das Template des digitalen Repre- 
sentation des gemessenen biometrischen Merkmals auszulesen. Diese Attacken konnen 
auch online ausgefiihrt werden (MMA). Drittens konnen die dem Template der digitalen 
Representation des gemessenen biometrischen Merkmals zugeordneten Daten ausge- 
tauscht werden (STX). 

Die WO 09850875 beschreibt ein sogenanntes biometrisches Identifikationsver- 
fahren, das ein digitales Signaturverfahren und Biometrie verwendet. Bei diesem Ver- 
fahren wird verhindert, daB das Template der digitalen Representation des gemessenen 
biometrischen Merkmals ausgetauscht wird (STX), indem es dieses in einem sogenann- 
ten biometrischen Zertifikat speichert: Das Template, sowie diesem zugeordnete Be- 
nutzerdaten, werden von einer Zertifizierungsstelle validiert und digital signiert. Dies 
verhindert, daB die Benutzerdaten, die dem Template zugeordnet sind, ausgetauscht 
werden konnen. Der Nachteil ist jedoch, daB damit nicht die Moglichkeit von Replay 
Attacken ausgeschlossen werden kann. 
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Die WO 9852317 beschreibt ebenfalls ein digitales Signaturverfahren. Das Ver- 
fahren gemaB WO 9852317 versucht die Angriffe STT und STX zu vereiteln, indem es 
ohne eine Speicherung der digitalen Representation (Template) des biometrischen 
Merkmals (BM) auskommt. Dabei wird in einer Initialisierungsphase aus dem BM eine 
sogenannte Instanz, d.h. Vertreter bzw. konkretes Beispiel einer Klasse, eines Problems 
erzeugt, dessen Losung das BM darstellt. Die digitale Representation ist somit nicht 
explizit gespeichert, sondern in der Instanz des Problems verborgen. WO 98/52317 
schlagt vor, das Problem so zu gestalten, dafi die digitalen Representation in einer 
Masse ahnlicher Daten zu verborgen ist (camouflage). 

Die Erfassung eines biometrischen Merkmals zur weiteren computergestiitzten 
Verarbeitung setzt eine Analog/Digital-Wandlung voraus, die aufgrund eines stets end- 
lichen, wenn auch sehr genauen Auflosungsvermogen oftmals Rundungsfehler bei den 
digitalsierten MeGwerte liefern wird. AuBerdem ist es etwa bei der Erfassung von bio- 
metrischen Merkmalen nicht realistisch anzunehmen, daB der Benutzer immer exakt 
gleiche Positionen beziiglich der MeGsensorik einnehmen wird. Bei Messungen von 
verhaltensbiometrischen Merkmalen stellt sich das zusatzliche Problem, daB nicht zu 
erwarten ist, daB der Benutzer sein Verhalten zweimal exakt repliziert. Der Sinn der 
Verwendung von biometrischen Merkmalen ist jedoch gerade ihre absolut eindeutige 
Zuordnung zu einem Menschen (z.B.: Fingerabdruck, Netzhaut usw.). Daher sind An- 
gaben iiber die notwendige Fehlertoleranz bzw. Angaben, wie aus den variierenden 
MeBwerten eine eindeutige Zuordnung erfolgen soil, unerlaBlich. WO 98/52317 gibt 
jedoch keine Angaben dazu, wie groB die Fehlertoleranz dieses Verfahrens ist. Ebenso 
bleibt es unklar, wie groB die Menge an tamender Information sein muB, damit die 
Losung des Problems nicht ausgelesen werden kann. Dies ist eine fiir die Quantifizie- 
rung oder auch nur Abschatzung der Sicherheit des Verfahrens notwendige Vorausset- 
zung. 



DE 4243908 Al versucht die Angriffe PKT, TA, STT, und STX zu verhindern, 
indem es ohne eine Speicherung des privaten Signaturschliissels und ohne eine Spei- 




cherung der digitalen Representation des biometrischen Merkmals auskommt. Das ge- 
schieht auf folgende Weise: 

1. Ein biometrisches Merkmal ABM wird gemessen. 

2. Das biometrische Merkmal ABM wird digitalisiert. 

3. Aus der digitalen Representation des biometrischen Merkmals wird ein sogenannter 
individueller Wert fester Lange IW berechnet. 

4. Aus dem individuellen Wert IW wird der private Signaturschliissel SK(A) des Sen- 
ders berechnet. 

5. Die Nachricht wird mittels dieses Schliissels SK(A) verschlusselt. 

Dabei ist jedoch nachteilig, daB die Berechnung von IW mittels einer Funktion f, 
die eine gewisse Fehlertoleranz aufweist, geschehen soil, da unklar ist, wie diese Feh- 
lertoleranz, auf die es entscheidend ankommt, fiir eine derartige Funktion bestimmt 
werden soil. In der Anmeldung wird nur gefordert, daB sie "nur mit einer so geringen 
Wahrscheinlichkeit, daB dies mit der Sicherheit des Systems zu vereinbaren ist" zwei 
Benutzern denselben individuellen Wert zuweist. Ebenso ist es nachteilig, daB es unklar 
ist, welche Funktionen oder Klassen von Funktionen die in der Anmeldung geforderten 
Eigenschaften aufweisen sollen. Vielmehr laBt die Beschreibung der Anmeldung den 
SchluB zu, daB zwar einerseits eine Kollisionsfreiheit fiir die Funktion f (eindeutige Zu- 
ordnung von Eingabewerten zu den resultierenden Ausgabewerten) gefordert wird, sie 
aber andererseits eine gewisse Fehlertoleranz aufweisen soli. Eine solche Funktion, die 
diese sich diametral gegenuberstehenden Voraussetzungen aufweist, kann es aber per 
definitionem nicht geben. Dies hat jedoch zur Folge, daB die stets reproduzierbare Gene- 
rierung des gleichen privaten Schliissels aus neuen MeBwerten des gleichen biometri- 
schen Merkmals, nicht zweifelsfrei moglich ist, d.h. signierte Dokumente bzw. Daten 
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nicht mit bekannten offentlichen Schliisseln identifiziert bzw. authentifiziert werden 
konnen. 

Allen genannten Verfahren ist gemeinsam nachteilig, da6 sie keine quantitativen 
Aussagen iiber den rechentechnischen Aufwand und damit den Schutz vor Entschliisse- 
lung ermoglichen. Somit sind sie einer Quantifizierung des Schutzes durch Biometrie 
nicht zuganglich. 

Demgegeniiber liegt der Erfindung die Aufgabe zugrunde, ein Verfahren zum 
Schutz von Daten zu schaffen, da8 eine gegenuber den Verfahren im Stand der Technik 
erhohte Sicherheit aufweist. 

Ferner ist es eine Aufgabe der Erfindung, ein Verfahren zu schaffen, das die si- 
chere Verschliisselung des Signaturschliissels mit Hilfe von biometrischen Merkmalen 
ermoglicht. 

Eine weitere Aufgabe der Erfindung besteht in der Schaffung einer Quantifizie- 
rungsmoglichkeit des Verschliisselungsschutzes durch Biometrie bei einem derartigen 
Verfahren. 

C^F^A Diese Aufgaben werden durch die im Anspruch 1 bzw. 13 angegeben Merkmale 

^^^^ gelost. 

Die Erfindung verwendet anmeldungsgemaB ein Signaturverfahren, bei dem der 
private bzw. geheime Schliissel (Signaturschliissel) mit Daten kodiert bzw. verschliisselt 
wird, die aus einem biometrischen Merkmal des Besitzers des privaten Schllissels ge- 
wonnen werden. Durch die Kodierung kann eine Gewahrleistung dahingehend erzielt 
werden, da6 derjenige, der seine digitale Unterschrift mit Hilfe des Signaturschliissels 
gegeben hat, auch der rechtmaGige Besitzer ist. 




Dazu wird in einem ersten Schritt in der Initialisierungsphase ein biometrisches 
Merkmal des Besitzers des Signaturschlussels, vorzugsweise dessen handschriftliche 
Unterschrift, bereitgestellt. Dazu werden MeBdaten von dem biometrischen Merkmal 
gewonnen. 

In einem zweiten Schritt werden zum Erfassen und weiteren Verarbeiten des bio- 
metrischen Merkmals seine MeBdaten digitalisiert. 

Aus den so gewonnenen digitalisierten biometrischen Merkmalsdaten werden in 
einem dritten Schritt Initial-Korrekturdaten errechnet, welche die Rekonstruktion ge- 
messener biometrischer Merkmale ermoglichen, die innerhalb eines frei wahlbaren To- 
leranzintervalls liegen. % 

In einem vierten Schritt erfolgt die fur ein asymmetrisches Signaturverfahren not- 
wendige Schliisselerzeugung, d.h. die Generierung eines Signaturschlussels. 

In einem funften Schritt wird zur Kodierung des Signaturschlussels dieser mit den 
digitalisierten biometrischen Merkmalsdaten verknupft. Durch diese Verschliisselung 
des Signaturschlussels konnen die zu signierenden Daten zur sicheren Ubertragung frei- 
gegeben und verwendet werden. 

Es werden bei dem anmeldungsgemaBen Verfahren an keiner Stelle geheime 
Daten, d.h. der Signaturschliissel sowie die digitalisierten Merkmalsdaten oder geheime 
Teile davon, gespeichert, so daB ein Austausch oder ein Diebstahl des Prototyps des 
biometrischen Merkmals nicht moglich ist. Daher werden durch dieses anmeldungsge- 
maBe Verfahren folgende Angriffsmoglichkeiten abgewehrt: 

• KA durch den Einsatz eines asymmetrischen Verschlusselungsverfahrens; 

• PKT Attacken sind nicht moglich, da der Signaturschliissel nicht gespeichert 
wird; 



• Angriffe STT und STX werden ebenso verhindert, da die digitale Representa- 
tion des biometrischen Merkmals, bzw. der relevante geheime Anteil daraus, 
nicht gespeichert wird. 

• MM A Attacken werden verhindert, da das biometrische Merkmal nicht iiber 
ein Datennetz iibertragen wird. 

• In einer vorteilhaften Ausfiihrungsform werden RA Attacken dadurch verhin- 
dert, daB das biometrische Merkmal nicht in ein fremdes Lesegerat eingelesen 
wird. In einer anderen vorteilhaften Ausfiihrungsform, welche fremde Lese- 
gerate voraussetzt, sind RA Attacken gegenuber dem Stand der Technik er- 
schwert, da das Verfahren insbesondere gemaB Anspruch 7 zwei exakt gleiche 
digitale Reprasentationen des biometrischen Merkmals zuriickweist. 

Anspruch 2 stellt eine vorteilhafte Ausfiihrungsform einer Authentifizierungs- 
phase zur Initialisierungsphase des anmeldungsgemaBen Verfahrens dar. Dabei wird in 
einem Schritt das betreffende biometrische Merkmal entsprechend digitalisiert und in 
einem weiteren Schritt Korrekturdaten aus diesen digitalisierten Merkmalsdaten gewon- 
nen. In einem folgenden Schritt wird der in der Initialisierungsphase kodierte Signatur- 
schliissel anhand dieser Korrekturdaten sowie der Korrekturdaten aus der Initialisie- 
rungsphase wiederhergestellt. 

GemaB Anspruch 3 erfolgt innerhalb des zweiten Schrittes fur die Schaffung einer 
Quantifizierungsmoglichkeit des Aufwands von brute-force Attacken und damit, bei 
geeigneter Auslegung des Systems, einer generellen Quantifizierung des Systems hin- 
sichtlich des Schutzes durch Biometrie, zusatzlich eine Zerlegung der digitalisierten 
Merkmals in einen offentlichen und nicht-offentlichen bzw. geheimen Teil. Dadurch, 
daB lediglich der nichtoffentliche Teil des biometrischen Merkmals zur fur die 
Kodierung des Signaturschliissels herangezogen wird, bleibt der Aufwand fur eine 
brute-force Attacke quantifizierbar. 



GemaB Anspruch 4 werden zur Zerlegung der digitalisierten biometrischen 
Merkmalsdaten vorzugsweise empirische Erhebungen verwendet, da diese derzeit am 
einfachsten durchzufiihren sind. 

GemaB den Anspriichen 5 und 6 wird vorzugsweise aus den digitalisierten biome- 
trischen Merkmalsdaten bzw. aus dem nicht-offentlichen Anteil davon mit Hilfe einer 
Hash-Funktion fur die Kodierung des privaten Schlussels bzw. Signaturschlussels ein 
Hash- Wert erstellt. Dies hat den Vorteil einer Reduktion der Merkmalsdaten auf einen 
Bitstring fester Lange und damit auch einer Vereinfachung der Kodierung des zugehori- 
gen Signaturschliissel, die dann beispielsweise einfach mit einer XOR-Verkmipfung 
durchgefiihrt werden kann. 

GemaB Anspruch 7 wird weiterhin vorzugsweise aus den digitalisierten biometri- 
schen Merkmalsdaten, die in der Authentifizierungsphase erstellt werden, mit Hilfe ei- 
ner Hash-Funktion ein Hash-Wert erstellt, der mit bereits gespeicherten Hash-Werten 
vorausgegangener Authentifizierungen verglichen wird. Da die Hash-Funktion eine be- 
sondere Auspragung von sogenannten Einweg-Funktionen darstellt, besitzt sie die Ei- 
genschaft der Kollisionsfreiheit. Unter Kollisionsfreiheit versteht man in der Krypto- 
graphie, daB ahnliche, aber nicht identische Texte vollig unterschiedliche Priifsummen 
ergeben sollen. Jedes Bit des Textes muB die Priifsumme beeinflussen. DaB heiBt ver- 
einfacht gesagL daB die Funktion bei identischen Eingabewerten immer genau einen 
identischen Ausgabewert fester Bitlange liefert. Diese Eigenschaft macht sich das an- 
meldungsgemaBe Verfahren hierbei zunutze, da bei der wiederholten Erfassung des 
gleichen biometrischen Merkmals es, wie bereits erwahnt, nahezu unmoglich ist, daB 
man exakt zwei identische MeBdatensatze erhalt. Wenn der Vergleich zwischen dem 
aktuellen und den gespeicherten Hash-Werten daher zu einem positiven Ergebnis fiihrt, 
ist dies ein starkes Indiz fur die Moglichkeit, daB man einer Replay-Attacke ausgesetzt 
ist. Demzufolge kann die Sicherheit durch Abbruch der Authentifizierung gewahrleistet 
werden. 



GemaB den Anspriichen 8 und 9 werden vorzugsweise als fiir das Verfahren in 
Frage kommende biometrische Merkrnale Merkmale der Verhaltensbiometrie verwen- 
det. Diese haben den Vorteil, da6 sie nur schwer nachgeahmt werden konnen. Ein einfa- 
ches Kopieren von Mustern oder Merkmalen ist dabei nahezu ausgeschlossen. 

GemaB Anspruch 9 verwendet das anmeldungsgemaBe Verfahren als Merkmals 
der Verhaltensbiometrie die handschriftliche Unterschrift, da diese leicht in dynamische 
und statische Anteile zerlegt werden kann, die wiederum der Zerlegung des biometn- 
schen Merkmals in geheime und offentliche Teile dienen. 

GemaB Anspruch 10 wird vorzugsweise die handschriftliche Unterschrift derart in 
einen offentlichen und einen geheimen Teil zerlegt, daB der geheime Teil der 
Unterschrift eine echte Untermenge der dynamischen Information ist, wodurch eine 
Quantifizierung ermoglicht wird bzw. weiterhin moglich ist. 

GemaB Anspruch 11 wird das in Frage kommende biometrische Merkmal mehr- 
mals gemessen und digitalisiert, urn bei der digitalen Erfassung der biometrischen 
Merkmalsdaten deren Fehlertoleranz bzw. Varianzbestimmung zu verbessern. 

GemaB Anspruch 12 wird vorzugsweise fur die Schlusselgenerierung ein her- 
kommliches Public-Key-Verfahren vorgeschlagen, da dieses weitverbreitet ist und zu- 
verlassig arbeitet. 

GemaB den Anspriichen 13 bis 17 wird eine Vorrichtung vorgeschlagen, mit der 
das anmeldungsgemaBe Verfahren auf einfache Weise durchgefiihrt werden kann. 

Das anmeldungsgemaBe Verfahren ermoglicht somit den Schutz von Daten in 
einem gegenuber dem Stand der Technik erhohten MaBstab. Dariiber hinaus ermoglicht 
das anmeldungsgemaBe Verfahren die Kodierung bzw. Verschlusselung des Signatur- 
schliissels, ohne daB dabei durch Speicherung von geheimen Daten neue Angriffspunkte 
fiir Attacken gegen das Signaturverfahren geschaffen werden. Das anmeldungsgemaBe 



Verfahren sowie die anmeldungsgemafie Vorrichtung ermoglicht weiterhin die sichere 
Authentifizierung von Personen oder Gruppen bzw. Maschinen, sowie flexible, kom- 
fortable und sichere elektronische Transaktionen. AuBerdem ist das Verfahren bzw. die 
Vorrichtung grundsatzlich einer Quantifizierung fiir den Schutz durch Biometrie, d.h. 
dem Abschatzen des Aufwandes einer brute-force Attacke zuganglich. Im Gegensatz zu 
dem anmeldungsgemafien Verfahren konnen bestehende Verfahren andere Angriffe wie 
SST oder STX nicht ausschlieBen, d.h. nicht sicherstellen, daB brute-force die beste An- 
griffsmethode ist. Brute-force ist jedoch die einzige Attacke, die etwa im Gegensatz zu 
Diebstahl des biometrischen Prototyps oder dergleichen, uberhaupt quantifizierbar ist. 
Ist nun der geheime Anteil des biometrischen Merkmals mindestens ebenso lang wie der 
Signaturschlussel selbst, so ist ein Angriff auf das biometrische Merkmal mindestens 
ebenso aufwendig wie eine brute-force Attacke auf den Signaturschlussel. Damit laBt 
sich aber der Aufwand, der mindestens notig ist, urn mit brute-force Attacken den Si- 
gnaturschlussel zu raten, zahlenmaBig angeben. Somit ist die Sicherheit des anmel- 
dungsgemaBen Verfahrens, das zum Schutz von Daten ein Signaturverfahren mit zu- 
satzlicher Verschliisselung des Signaturschliissels durch Biometrie verwendet, quanti- 
fizierbar. 

Weitere Merkmale und Vorteile der Erfindung ergeben sich aus den Unteransprii- 
chen und nachfolgenden Beschreibung eines Ausfiihrungsbeispiels anhand der Zeich- 
nung. 

Es zeigt: 

Fis. 1 einen Verlauf einer Transaktion eines herkommlichen Smart Card Systems 
unter Verwendung eines Authentifizierungsverfahrens mit digitaler Signatur; 

Fig. 2 einen Verlauf einer herkommlichen Transaktion unter Verwendung digi- 
taler Signaturen; 



Fig. 3 einen Verlauf einer herkommlichen Transaktion unter Verwendung digi- 
taler Signaturen und eines zusatzlichen Authentifizierungsschritts; 

Fig. 4 eine schematische Darstellung des Vergleichs der Korrekturdaten aus der 
anmeldungsgemaBen Initialisierungs- und Authentifizierungsphase; 

Fig. 5 ein Ablaufschema der anmeldungsgemaBen Initialisierungs- und Authenti- 
fizierungsphase; 

Fig. 6 eine Tabelle, in die Angriffsmoglichkeiten und deren AbwehrmaBnahmen 
auf digitale Signaturverfahren, die zusatzlich Biometrie verwenden, aufgefiihrt sind. 

Im folgenden werden elektronische Transaktionen als ein Anwendungsbeispiel fiir 
das Initialisierungs- und Authentifizierungsverfahren diskutiert. 

Bei elektronischen Transaktionen ist es von zentraler Bedeutung, daB die Identitat 
der Transaktionspartner sowie die Integritat der Transaktionsdaten eindeutig feststellbar 
ist. Unterschiedliche Verfahren, die Identitat der Transaktionspartner zu 
authentifizieren, sind in Gebrauch: 

Bei der Identifizierung durch Wissen geschieht die Identifizierung durch ein 
shared secret; in der Praxis meinst Passwort, Passphrase oder PIN, bei der Identifizie- 
rung durch Besitz geschieht die Identifizierung iiber den Signaturschliissel, Personal- 
ausweis usw. und bei der Identifizierung durch Biometrie durch Fingerabdruck, Re- 
tinabild. 

Unterschiedliche Kombinationen aus diesen Verfahren sind ebenso denkbar. So 
identifiziert sich jemand, der mit ec-Karte Transaktionen tatigt, durch Besitz (die Karte) 
und durch Wissen (die PIN). 



Einige Authentifizierungsverfahren konnen hoheren Sicherheitsanforderungen 
nicht geniigen. So besteht bei der Identifizierung durch Wissen immer die Gefahr, daB 
Benutzer die Passphrase oder PIN notieren. AuBerdem konnen Passphrase oder PIN 
kryptoanalytisch aus gespeicherten Daten ermittelt werden. Urn diesen Gefahren zu be- 
gegnen, setzen viele neuere Authentifizierungsverfahren digitale Signaturen ein. Digi- 
tale Signaturen haben noch einen weiteren Vorteil: Sie stellen gleichzeitig die Integritat 
der signierten Daten sicher: Signatur und Daten sind untrennbar mit einander verwoben. 

Digitale Signaturen, die auf einer Smart Card oder auf einem anderen portablen 
Medium gespeichert sind, stellen lediglich einen Sonderfall der "Identifizierung durch 
Wissen" dar. Deshalb wird dieser haufig zusatzlich durch eine PIN oder durch Biome- 
trie geschiitzt. 

Fig. 2 stellt eine konventionelle Transaktion unter Einsatz digitaler Signaturen 
dar. Die Transaktion umfaBt folgende Schritte: 

1. Eine Zertifizierungsstelle gibt Zertifikate aus und fiihrt Verzeichnisse, die 
jeder digitalen Signatur einen rechtmaBigen Besitzer zuordnen. 

2. Der Unterzeichner signiert einen Vertrag. 

3. Der Zahlungsempfanger validiert die Signatur anhand des offentlichen Schliis- 
sels des Unterzeichners. Gegebenenfalls konsultiert der Zahlungsempfanger 
das Verzeichnis, das die Zertifizierungsstelle fiihrt. 

Diese Form der Transaktion hat mehrere Nachteile, namlich daB 

der Zahlungsempfanger darauf angewiesen ist, den offentlichen Schliissel des Si- 
gnierenden zu kennen, daB letztendlich nur eine Zuordnung der Zahlung zu einem pri- 
vaten Signaturschliissel geschieht, d.h., ob der rechtmaBige Besitzer des Schliissels tat- 




sachlich derjenige ist, der den Vertrag signiert hat, zunachst unklar bleibt, und da6 sich 
der Kunde und der Zahlungsempf anger auf ein Format verstandigen miissen. 

Bei einigen Verfahren kann der Kunde den Vertrag nur signieren, wenn er sich 
zuvor identifiziert hat. Das Verfahren lauft dann so ab, wie in Fig. 1 und 3 dargestellt. In 
Fig. 1 sind Daten, die nur zeitweilig existieren, mit unterbrochenen Linien umrahmt, 
und Daten, die iiber einen langeren Zeitraum existieren, mit durchgehenden Linien. In 
Fig. 3 wird eine herkommliche Transaktion mit digitaler Signatur und Authentifizierung 
dargestellt. Die Authentifizierung kann dabei durch Messung eines biometrischen 
Merkmals geschehen. Der Zahlungsempf anger ist dabei darauf angewiesen, den offent- 
lichen Schlussel des Signierenden und ein Muster des Merkmals zu kennen. Hierzu ist 
zu beachten, daB eine digitale Representation des gemessenen biometrischen Merkmals 
iiber ein Datennetz iibertragen wird. AnschlieGend vergleicht die Verkauferseite das 
gemessene biometrische Merkmal mit einem gespeicherten Muster (Template). Diesbe- 
ziiglich sind Angriffe moglich, namlich MMA, RA, STT, STX. 

Fig. 5 zeigt das anmeldungsgemaBe Signaturverfahren in einem prinzipiellen Ab- 
laufdiagramm. Dabei werden die beiden unabhangigen Verfahren der Initialisierungs- 
und Authentifizierungsphase gemeinsam dargestellt. Es umfaGt folgende Schritte: 

1. In einer Initialisierungsphase wird das biometrische Merkmal des Benutzers 
gemessen und digitalisiert. Dieses wird als Prototyp P des Merkmals bezeich- 
net. Gegebenenfalls wird das biometrische Merkmal mehrfach gemessen. In 
diesem Fall wird der Prototyp P aus mehreren MeGwerten ermittelt und fur die 
Initialisierung der Vorrichtung herangezogen. Idealerweise wird der Prototyp 
P anschlieGend in einen offentlichen und einen geheimen Teil zerlegt. Keines- 
falls wird ein vollstandiges biometrisches Merkmal, geheime Teile eines 
Merkmals oder ein Prototyp desselben gespeichert. 

2. In einem zweiten Initialisierungsschritt werden aus dem Prototyp P Korrektur- 
daten errechnet, welche die Rekonstruktion gemessener biometrischer Merk- 
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male ermoglicht, wenn sie innerhalb eines frei wahlbaren Toleranzintervalls 
liegen. 

3. In einem dritten Initialisierungsschritt werden die Daten, die zur Durchfiihrung 
des kryptographischen Verfahrens notwendig sind, errechnet. 

4. In einem vierten Initialisierungsschritt werden die privaten Daten des krypto- 
graphischen Verfahrens mit dem Prototyp P Oder Teilen von P in geeigneter 
Weise verkniipft. 

^^^^ 5. In den Authentifizierungsphasen wird das biometrische Merkmal des Benut- 

^ zers emeut gemessen und digitalisiert. In der bevorzugten Ausfuhrungsform 

ist das biometrische Merkmal die Unterschrift des Benutzers, wobei dynami- 
sche Charakteristika der Unterschrift miterfaBt werden. Die Unterschrift kann 
auf dem Display der Vorrichtung geleistet werden. Hierbei ist zu beachten, 
daG der Benutzer nicht aufgefordert wird, sein biometrische Merkmal 
"fremden" Geraten zu iiberlassen. Ein Diebstahl des biometrischen Merkmals 
ist damit erschwert. 

6. Gegebenenfalls wird das biometrische Merkmal in einen "Klassifikationsteil" 
und einen "Verifikationsteil" zerlegt. Dabei umfaBt der "Klassifikationsteil" 
lediglich offentlich zugangliche Informationen. Wenn die vorlaufige Zuord- 
nung des biometrischen Merkmals zu einem Benutzers anhand der Informa- 
tionen des "Klassifikationsteils" mifilingt, wird der Benutzer zuriickgewiesen. 
Der "Verifikationsteil" umfaBt ausschlieBlich nicht offentlich zugangliche In- 
formationen. In der bevorzugten Ausfuhrungsform konnen das dynamische 
Charakteristika der Unterschrift sein. 

7. Aus dem "Verifikationsteil" oder aus anderen Informationen, die nur dem le- 
gitimen Besitzer des geheimen Schliissels zuganglich sind, wird der Prototyp 
P, oder ein daraus berechneter Wert rekonstruiert, der dem Benutzer in ein- 




deutiger Weise zugeordnet ist. Dabei wird die Kollisionsfreiheit der Zuord- 
nungsvorschrift in Bezug auf unterschiedliche Benutzer gefordert. 



8. Aus diesem Wert - und gegebenenfalls Zusatzdateien - wird mittels einer kol- 
lisionsfreien Funktion, deren Umkehrfunktion schwer berechenbar ist, ein 
Wert fester Lange generiert. Ein Beispiel fur eine solche Funktion ist Message 
Digest 5 (MD5). Dieser Wert dient als Ausgangswert um den privaten Signa- 
turschliissels zu bestimmen. Alternativ wird der private Signaturschliissel 
direkt aus dem Wert P ermittelt. 

9. Die Vorrichtung signiert die Rechnung oder Teile der Rechnung. An- 
schlieBend wird der Signaturschliissel sofort wieder geloscht. 

Im folgenden wird die Rekonstruktion des Wertes P in der Authentifizierungs- 
phase genauer beschrieben. 

Zur Abbildung auf den Wert P wird ein Algorithmus herangezogen, der folgende 
Eigenschaften hat: 

1. Er bildet legitime Eingabewerte, wie zum Beispiel digitalisierte biometrische 
Merkmale, zuverlassig auf einen Wert W ab. Im vorliegenden Fall ist das der 
Prototyp P. 

2. Er bildet illegitime Eingabewerte nicht auf den Wert W ab. 

3. Er ist skalierbar in Bezug auf die erlaubte Varianz legitimer Werte. 

4. Die Abbildungsfunktion ist auGerhalb des Intervalls, in welchen die legitimen 
Eingabewerte liegen, unstetig. Das heiBt, da6 Gradientenverfahren nicht an- 
wendbar sind. 
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5 . Er erlaubt keine Riickschliisse auf Eigenschaften legitimer Eingabewerte. 

Die Eigenschaften 1, 2 und 3 beschreiben die Zuverlassigkeit des Verfahrens. Die 
Eigenschaften 4 und 5 besagen, daB eine Analyse des Verfahrens zur Berechnung des 
Wertes W einem Angreifer keine Vorteile bietet. Das heiBt, daB der Aufwand eines An- 
griffs auf das System ist gleich dem Aufwand einer brute-force Attacke. Dies gilt jedoch 
nur, wenn die Eingabewerte - zum Beispiel Teile der biometrischen Daten - nicht 6f- 
fentlich sind. 

Die oben genannten Forderungen werden durch die Dekodierstufen von gangigen 
Fehlerkorrekturverfahren erfiillt. Voraussetzung fur die Anwendung dieser Verfahren 
ist, daB der Wert W, auf den abgebildet werden soil, im Ausgangswert redundant kodiert 
ist. 

Im folgenden wird das bereits im Prinzip geschilderte anmeldungsgemaBe Signa- 
turverfahren anhand eines bevorzugten Ausfiihrungsbeispiels im Detail beschrieben 
werden: 

1. Initialisierungsphase 

(a) In einer Initialisierungsphase unterschreibt der legitime Benutzer mehrfach auf 
einem Display der Vorrichtung. 

(b) Die Unterschrift wird digitalisiert. Hierbei werden statische und dynamische Infor- 
mationen erfaBt. 

(c) Ein Muster oder Prototyp P der Unterschrift wird berechnet. 

(d) Die Varianz zwischen den digitalisierten Unterschriften wird bestimmt. 
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(e) Statische Informationen der Unterschrift werden zu Klassifikationszwecken gespei- 
chert. 

(f) Die dynamischen Informationen der Unterschrift werden mit statistischen und psy- 
chologischen Informationen iiber Unterschriften der Gesamtpopulation verglichen. 
Dynamische Information, die sich nicht mit Kenntnissen iiber die statistischen Ei- 
genschaften von Unterschriften gewinnen laGt, und die fur den Unterzeichner kenn- 
zeichnend ist, wird als "geheim" klassifiziert. 

(g) Die binare Representation des Merkmals wird in Quadraten der Kantenlange n an- 
geordnet, wie es in Fig. 4 gezeigt ist. Der Wert von n spielt fur die Diskussion des 
Verfahrens keine Rolle. Je groBer n ist, desto geringere Fehlerraten korrigiert das 
Verfahren. Der Wert von n ist so zu wahlen, daG das Verfahren die gewiinschte An- 
zahl an Fehlern korrigiert. Er wird anhand der eventuell in Schritt 1(d) gemessenen 
Varianz, statistischer, psychologischer oder sonstiger Erkenntnisse so gewahlt, daG 
die Fehlerrate, die innerhalb der gemessenen biometrischen Merkmale eines Benut- 
zers zu erwarten ist, korrigiert wird. Dabei kann bei unterschiedlichen Teilmerk- 
malen unterschiedliche Fehlerraten angenommen werden. Die Lange des Merkmals 
ist nicht geheim. Kann das letzte Quadrat nicht vollstandig gefullt werden, kann ein 
Rechteck verwendet werden. Fehlende Bits werden mit Nullen aufgefiillt. 

(h) Von jeder Zeile und jeder Spalte wird die Paritat notiert. Das sind 2n-l unabhangige 
Werte. 

(i) Die Paritaten werden beispielsweise in der anmeldungsgemaGen Vorrichtung abge- 
speichert. Obwohl sie im Prinzip ebenfalls geschutzt werden konnten, werden sie im 
folgenden als offentliche Information angesehen. Es bleiben pro Quadrat (n - l) 2 ge- 
heime Bits. 

(j) Im letzten Quadrat werden die Paritaten mehrerer Spalten zusammengefaGt, so daG 
die Paritaten zu konstanten Spaltenlangen gehoren. 




(k) Alle Unterschriften werden geloscht. 

(1) Fur ein geeignetes Public-Key- Verfahren wird ein Schliisselpaar erzeugt. 

(m)Der geheime Schliissel wird mit Hilfe der binaren Representation des Merkmals 
geschiitzt, z.B. indem das bitweise XOR des geheimen Schliissels mit dem biome- 
trischen Merkmal (oder dem gehashten Wert davon) abgespeichert wird und der ge- 
heime Schliissel geloscht wird. 

(n) Mit Hilfe von statistischen Daten liber die Gesamtbevolkerung, die als allgemein 
zuganglich anzusehen sind, wird die Zahl N der Bits des Merkmals bestimmt, die als 
geheim anzusehen sind, weil diese weder geraten werden konnen noch fur die Feh- 
lerkorrektur verbraucht sind. Aufgrund der Fehlerkorrekturinformation kann die An- 
zahl der bei einer Attacke zu ratenden Bits pro Quadrat um 2n-l reduziert werden, 
da der Angreifer das Korrekturverfahren kennt. Die sich hier ergebende Zahl ist ein 
MaB fiir die Sicherheit des Verfahrens. 

(o) Alle geheimen Teile des Prototyps der Unterschrift werden geloscht. 

(p) Ein Schliisselpaar, bestehend aus einem offentlichen und einem geheimen Schliissel 
wird generiert. 

(q) Der Wert P und der private Signaturschliissel werden geloscht. 
2. Authentifizierungsphase 

(a) In einer Authentifizierungsphase unterschreibt der legitime Benutzer auf dem 
Display einer Vorrichtung 



(b) Die Unterschrift wird mit einem geeigneten Eingabegerat digitalisiert; hierzu wer- 
den statische und dynamische Informationen erfaBt. Das kann insbesondere das 
gleiche Gerat wie in der Initialisierungsphase sein. 

(c) Ein Hashwert der digitalisierten Unterschrift wird berechnet. Dieser kann in nach- 
folgenden Authentifizierungsphasen mit den Hashwerten neuer Unterschriften ver- 
glichen werden. Solche digitalisierten Unterschriften, die mit vorher geleisteten 
Unterschriften exakt ubereinstimmen, werden zuriickgewiesen. Dies erschwert 
replay-Attacken. 

(d) Offentliche Informationen der Unterschrift werden zu Klassifikationszwecken her- 
angezogen, wenn die Vorrichtung auf mehrere Benutzer initialisiert wurde. 

(e) Die binare Representation des Merkmals wird in die Quadrate der Initialisierungs- 
phase eingetragen. 

(f) Die Paritaten der Zeilen und Spalten werden berechnet. 

(g) Etwaige Einbitfehler werden durch Vergleich mit den abgespeicherten Paritaten 
lokalisiert und korrigiert. (Siehe Fig. 4.) 

(h) Befinden sich in einem Quadrat mehr als ein Fehler, scheitert die Korrektur. Das ist 
insbesondere dann der Fall, wenn eine unzureichende Falschung eingegeben wurde. 

(i) Das korrigierte Merkmal wird zur Wiederherstellung des geheimen Schliissels des 
Public-Key-Verfahrens verwendet. Bei dem beispielhaften Verfahren aus l(m) wird 
das bitweise XOR des Merkmals (oder des gehashten Wertes) mit dem Ergebnis von 
l(m) berechnet. Dieser Wert ist der geheime Schliissel. 

(j) Das zu signierende Dokument wird mittels des neu generierten privaten Schliissels 
signiert. 



(k) Der private Signaturschliissel wird geloscht. 

(1) Das signierte Dokument wird ubertragen. 

Die Fehlerkorrekturfunktion laBt keine Riickschlusse darauf zu, wie weit das di- 
gitalisierte biometrische Merkmal von der Grenze des Korrekturintervalls entfernt ist. 
Gradientenverfahren sind daher keine geeignete Angriffsmoglichkeit. 
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Anspruche 

1. Verfahren zum Schutz von Daten, das eine Initialisierungsphase mit folgenden 
5 Schritten aufweist: 

a) Bereitstellung eines biometrischen Merkmals; 

b) Digitalisierung des biometrischen Merkmals zur Erstellung von digitalisierten 
biometrischen Merkmalsdaten; 

c) Erstellung von Initial-Korrekturdaten anhand der digitalisierten biometrischen 
10 Merkmalsdaten; 

d) Bereitstellung von geheimen Daten; 

e) Kodierung der geheimen Daten mit Hilfe der digitalisierten biometrischen 
Merkmalsdaten zur Erzeugung kodierter geheimer Daten. 

1 5 2. Verfahren nach Anspruch 1 , das ferner eine Authentifizierungsphase mit folgenden 
Schritten aufweist: 

a) Erneute Bereitstellung eines biometrischen Merkmals; 

b) Digitalisierung des biometrischen Merkmals zur Erstellung von 
digitalisierten biometrischen Authentifizierungsmerkmalsdaten; 

20 c) Erstellung von Authentifizierungs-Korrekturdaten anhand der digitalisierten 

biometrischen Authentifizierungsmerkmalsdaten; 

d) Wiederherstellung der digitalisierten biometrischen Merkmalsdaten anhand 
der Authentifizierungs-und Initial-Korrekturdaten; 

e) Dekodierung der kpdierten geheimen Daten anhand der wiederhergestellten 
25 digitalisierten biometrischen Merkmalsdaten. 

3. Verfahren nach einem der Anspruche 1 bis 2, bei dem aus dem biometrischen 
Merkmal ein offentlicher und ein geheimer Teil bestimmt oder geschatzt wird. 
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4. Verfahren nach Anspruch 3, bei dem die Trennung in einen offentlichen und einen 
geheimen Teil des biometrischen Merkmals mit Hilfe von empirischen Erhebungen 
erfolgt. 

5. Verfahren nach Anspruch 1 bis 4, wobei mit Hilfe einer Hash-Funktion aus den 
digitalisierten biometrischen Merkmalsdaten ein Hash- Wert erstellt wird. 

6. Verfahren nach Anspruch 2 bis 5, wobei mit Hilfe einer Hash-Funktion aus den 
digitalisierten biometrischen Authentifizierungsmerkmalsdaten ein Hash-Wert 
erstellt wird. 

7. Verfahren nach Anspruch 2 bis 6, bei dem mit Hilfe einer Hash-Funktion aus den 
digitalisierten biometrischen Authentifizierungsmerkmalsdaten ein Hash-Wert 
erstellt wird. 

8. Verfahren nach einem der vorhergehenden Anspriiche, bei dem das biometrische 
Merkmal eine Verhaltensbiometrie ist. 

9. Verfahren nach einem der vorhergehenden Anspriiche, bei dem das biometrische 
Merkmal aus einer handschriftlich geleisteten Unterschrift besteht. 

10. Verfahren nach einem der vorhergehenden Anspriiche, bei dem die handschriftliche 
Unterschrift in einen offentlichen und einen geheimen Teil zerlegt wird und der 
geheime Teil eine echte Untermenge der dynamischen Information der Unterschrift 
ist. 

11. Verfahren nach einem der vorhergehenden Anspriiche, bei dem die Bereitstellung 
und/oder Digitalisierung des biometrischen Merkmals mehrfach erfolgt. 

12. Verfahren nach einem der vorhergehenden Anspriiche, bei dem die geheimen Daten 
mit einem Public-Key-Verfahrens erzeugt werden. 
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13. Vorrichtung, insbesondere zur Durchfuhrung des Verfahrens nach einem der 
vorhergehenden Anspriiche mit: 

a) einem Mittel zum Digitalisieren eines biometischen Merkmals zur Erstellung 
von digitalisierten biometrischen Merkmalsdaten; 

b) einem Mittel zur Erstellung von Initial-Korrekturdaten anhand der 
digitalisierten biometrischen Merkmalsdaten; 

c) einem Mittel zur Bereitstellung von geheimen Daten; sowie 

d) einem Mittel zur Kodierung der geheimen Daten mit Hilfe der digitalisierten 
biometrischen Merkmalsdaten zur Erzeugung kodierter geheimer Daten. 

14. Vorrichtung nach Anspruch 13, das femer ein Mittel zur Bereitstellung eines 
Hashwerts aus den digitalisierten biometrischen Authentifizierungsmerkmalsdaten 
aufweist. 

15. Vorrichtung nach Anspruch 13 oder 14, das femer ein Mittel zur Zerlegung des 
biometrischen Merkmals in einen offentlichen und einen geheimen Teil aufweist. 

16. Vorrichtung nach Anspruch 15, das femer ein Mittel zur Zerlegung in einen 
offentlichen und einen geheimen Teil des biometrischen Merkmals mit Hilfe von 
statistischen Erhebungen aufweist. 

17. Vorrichtung nach Anspruch 13 bis 16, das femer ein Mittel zur Erfassung einer 
handschriftlich geleisteten Unterschrift als biometrisches Merkmal aufweist. 
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